Schutz vor automatisierten Angriffen 
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Raffinesse der Angriffe und 
Kenntnisse der Hacker 

Zusätzlich begünstigt werden neue 
Einbrüche durch das Zusammen- 
wirken weiterer technischer und be- 
trieblicher Faktoren. Viele populäre, 
auf Standards basierende Netzwerk 
dienste wie Telnet, fip und SNMP 
Sind von Natur aus unsicher, Die 
Voreinstellungen von. Systemen 


sind wohl bekannt und werden 


nach der Installation of nicht ver- 
Andert = hierzu gehören auch Log- 
in-Namen und Passwörter. Weil die 
verwendeten Technologien so kom- 
plex sind, kommt e ot zu Design- 
Fehlern, etwa, was das Setup und die 
Zugangskontrolle anbelangt. Tag- 
täglich werden Fehler ei der Soft- 

re-Implementierung entdeckt 
und bekannt bemacht, beispiels- 
weise mangelnde Bingabevalidie- 
rung oder Pufferüberläufe. Und 
schließlich lösen die Nutzer oft 
selbe unwisenlich Einbrüche aus 
= durch scheinbar harmlose E- 
Mails oder einfach dadurch, dassie. 
im Internet surfen. 

AU diese Faktoren tragen zu 
(der rasant steigenden Zahl neuer Si- 
(Cherheitsereignise bei, die dem 
CERT: Coordination- Center gemel- 
det werden, In der Zeit von 1998 bis 
tinschlieBlich 2002 stieg die Zahl 


der Vorkommnisse um 2099 Pro- 
ent — das ise eine durchschnittliche 


liche _ Gesamesteigerungsrate 
Yon 116 Prozent (siehe wwwicert. 


‚Begegnungen der dritten Art 


| Die Nutzung von Netzwerken kann zu unerwünschten Begegnungen führen - mit Viren, Würmern und 
| anderen Schädlingen. Und die gehen jetzt in die dritte Generation. IT-Verantwortliche sollten sich recht- 


Orgsatfeert_sats.htnl). Die Ber 
drohungen, die die erwihnten Si 
cherheitsprobleme ausnutzen, tre- 
ten nunmehr in die dritte Genera- 
tion ein. Der nachfolgende Ober 
bliek zeigt, wie sich die Art der De 
drohungen verändert 
Bedrohungen der ersten Gene- 
tation: Bei diesen Bedrohungen 
handelt es sich um Angriffe vom Vi- 
tentyp, die sich über E-Malund ge- 
einsame Dateinutzung verbreite- 
ten. Zu ihren wesentlichen Merk- 
falen. gahet, dass menschliches 
utun erforderlich ist, damit sie 
sich reproduzieren und verbreiten 
können — zum Beispiel, dass ein 
Nutzer einen infizierten. Dateian- 
hang Offnet. Beispiele für diesen 
Typ sind der Mako-Virus Melissa, 
der VB-Seript-Wurm Loveletter 
und in jüngster Zeit der Fizzer: Vi- 
fus, Ea existieren wirkungsvolle 
Technologien, um diese Bedrohun- 
gen zu erkennen und zu beseitigen 
Hersteller von Antivicen-Produkten 
stehen an vorderster Front, wenn cs 
daram geht, diese Gefahren. zu 


identifizieren und die Kunden vor 
ihnen zu schützen, Antirirn-Pro« 
‘dukte werden kontinuierlich aktan- 


von diesem Typ zu erkennen. 
Bedrohungen der zweiten Ge- 
netation: In dieser Kategorie hert- 
schen aktive Wirmer vor, die Syste- 
me und Anwendungen angreifen, 
Sie dringen eim, indem sie Sicher- 
heitslücken in den Systemen und 
Applikationen ausnutzen; Anwen- 
(erakonen sind daru nicht erfor- 
(rich. Sie replizieren sich autorn- 
tisch: ebenso werden nese Opfer 
automatisch idensifziert und ins 
Visier genommen. Die Verbrei 
tungsstrategie kann unterschiedlich 
sein, doch häußg wird eine Zufills- 
funksion mit. nict-detruktiren 
Nutzlasten eingesetzt, Oft bandek 
es sich um „Blended Theater = 
Kombinierte Angriffe, die 
Trojaner und die anomacische Ans- 
nutzung bekannter Sicherheit 
cken umfassen. Beispiele aus der 
Jüngsten Zeit sind der Wurm Spidn 


(SQLenake) (5102), der Wurm Bug- 
bear (3/02), der Wurm Slapper 
902) und der SQL-Slammer 
Warm (1/03), Schwachstllenanay 
sen sind eine effektive Methode, um 
Sicherheitslücke proaktiv zu er 
mitteln und zu beheben, bevor sie 
von solcher Malware ausgenutzt 
werden konnen. 

Bedrohungen der dritten Ge- 
nerion: Die Bedrohungen der 
dritten Generation unterscheiden 
aich von den früheren sowohl durch 
die Fortpflanzungsgeschwindigkeit 
als auch durch die Strategien, mit 
denen sie ihre Opfer nuwählen. 
Das Ziel besteht darin, In der ersten 
Stunde in so viele Systeme wie nur 
möglich einzubrechen, well da- 
durch ein Gegenschlag praktisch 
ausgeschlossen wird. Die Bedro- 
hungen dieser Generation werden 
neue anfılige Ziele systematisch im 
Voraus identifizieren, um die Schi 
den zu maximieren, Teilwese wer 
den sie unbekannte Sicherheilt- 
cken ausnutzen und mehrere An- 
Briflsvektoren führen, was die Ab- 
ehr erschwert. Bs ist unbedingt er. 
forderlich,- regelmäßige, Sicher- 
heitsaudits durchzuführen, damit 
Schwachstellen gefunden und be- 
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te 


__SOLUTIONS 


hoben werden können, bevor Be- 
drohungen der dritten Generation. 
gestarte werden, 


Anatomie künftiger 
Sicherheitsbedrohungen 
Jüngste Sicherheitsattacken weiten 
erse Merkmale von Malware der 
dritten Generation auf = und de 
monsrieren. eindringlich, welch 
verheerende Auswirkungen Kinki- 
ge Angritfe haben können, So befel 
beispiehweive der SQL-Slammer- 
Wurm am 25. Januar 2003 inner 
halb kürzester Zeit mehr als 120000 
Server, auf denen Micronok-SQL 
Server Iuh, legte dadurch den 
Interet-Verkehe in Südkorea Ihm, 
setzte die Kassensutomaten einer 
VS-Großbank außer Gefecht, 
unterbrach den Betrieb von 911 
Call-Centern in Seattle und verur- 
sachte weltweit weiter schwere St- 
rungen. SQL-Slammer war der 
schnellste Warm, den es je gab — 
mehr als 90 Prozent der betroffenen 
Hosts wurden innerhalb von 10 Mi- 
nuten infiziert. In der ersten Minu- 
te verdoppelte sich die Grüße der 
inâzierien Population alle 8,5 Se 
kunden; nach nur drei Minuten war 
eine Gesamt-Scanning-Rate von 


mehr als 55 Millionen Scas pro Se- 
kunde erreicht, SQL-Slammer zeigt 
bereits jene ultraschonelle Fopdan- 
zung, die für Angriffe der dritten 
Generation charakteristisch ist, gilt 
aber immer noch als Bedrohung 
der zweiten Generation. Der Explo- 
it nutzte eine wohl bekannte, doku- 
mentierte Sicherheitslücke aus und 
beschränkte sich auf sinen Ange 
vektor. Similiche Host-Binbrüche 
hanen sich durch Anwendung cines 
Patches verhindern lassen, den Mi- 
trosoft sechs Monate vor dem An- 
(if bekannt gegeben hatte. 


Drei Eigenschaften der 
dritten Generation 
Uhraschnalle Verbreitung Schnel 
lere Fortpflanzung ist aus Hacker- 
Sicht wünschenswert = sie verhin- 
dert ein rechtzeitiger Eingreifen der 
Sichecheitsadminiratoren und 
cher deshalb größere Schtden an 
Die Autoren von SQL-Shmmer 
setzten eine Stratege ein, bei der 
uflige Adresten gescannt wurden, 
um neue Ziele auauspbren, und er- 
ziekten damit exponertielles Wachs- 
tum. Diese Strategie erbrachte 
“schnell gute Resultat, weil UDP als 
verbindungsloses Übertragungs 
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protokoll verwendet wurde, Ande- 
fer jedoch dberlastete SQL 
Slammer rusch die von SQL-Server- 
Hoss verwendeten Netzwerke und 
behinderte sich damit selbst, An 
if der dritten Generation wer- 
den noch bessere Durchdringung 
erzielen, inder ihre Autoren Spe. 
me mit aniierten Schwachstellen 
vorkompilieren — und erst dann 
Tosschlagen. Mit Vorkompllation. 
konnen Angreifer das Internet cm 
nen, die Erfolgchancen (br einen 
Angrifť einschtzen und viel ver 
sprechende Ziele katalogisieren 
Vorkompilation ist eine besonders 
efiziente Strategie: Der Angreifer 
verwende sozusagen eine Landkar- 
te, um geplante Ziele schnell zu er- 


SOLUTIONS 


Entwicklung der Bedrohungen 


4. Generation: Viren verbreiten sich durch Anwenderaktionen wie 
EMail und gemeinsame Dateinutzung. 

2. Generation: Aktive Würmer nutzen bekannte Schwachstellen aus. 
Sie verbreiten sich automatisch und ohne Anwendereinmitkung. 


3. Generation (die Zukunf 


}: Ultraschneile Fortpflanzung, unbekas 


ie Schwachstellen, mehrere Angriffsvektoren. 


reichen, anstatt wahllos alle auf 
dem Weg liegenden Straßen abzu- 
Fähren, Mit Vorkompilation Jassen 
sich _blitzartige, immer schneller 
werdende Angrite durchführen ~ 
ähnlich einer Lawine, die wihrend 
Ihrer kurzen Lebensdauer verhee- 
rende Schaden anrichten kaon. 
Ausnutzung bekanater und 
unbekannter Sicherheislücken: Bei 
Praktisch len Angriffen in der Ver- 
Sangenheit wurden bekannte Si- 
Sherhetlacken ausgenutzt, Ein we- 
senlicher Grund hierfür liegt da= 
rim dass die Entdeckung neuer 
Schwachstellen harte Arbeit it und 
die technischen Fühikeiten des 
Qurchschnitichen Angrefes über- 
tee So stammt beipesweise der 
Exploit-Code fr die Kernkompo- 
mente von SQL-Shummer aus For- 
schungsergebnisen, die 2002 auf 
einer Olek-Ha-Sicherhetskonfe- 
Te vorgestellt wurden. Auch künf- 
ige Angreifer werden sich gerne die 
Früchte schnappen. die sie durch 
Ausnutzung bekannter Sicherheits- 
cken leicht ermen können. Sie 
werden aber auch Schwachstellen 
ausnutzen, die nicht bekannt sind 
und vor denen die Sicherheisadmi- 
istetoren nicht gewarnt wurden. 
Durch vorkompilierte Angriffe wird 
das Gesamtuniversum angreitbarer 
Ziele wachen. In der Vergangenheit 
richteten sich die Bedrohungen 
hauptsächlich gegen die populirs- 
ten Applikaonen und Systeme, 
weil hier mit Techniken der zul 
gen Forpflanzung die große Stoð- 
kraft zu erzielen war. In Zukunft 
werden selbst gebräuchliche An- 
Wendungen und Geräte gefährdet 


Neu Flach des Security Forun 
ee: 


eins automatisierte, vorkompiierte 
Angriffe werden auch deren speziel- 
ie Schwachstellen aufspüren und 
ausnutzen können. Das Risiko von 
Angriffen auf unbekannte 
Schwachstellen steigt, je mehr es in 
diversen internationalen Ausein- 
andersetzungen technisch gewiefte 
nd mit umtangreichen Ressourcen 
Ausgeruee Parteien gibt, die cs 
darauf anlegen, bei ihren jeweligen 
Feinden digitale Verwüstungen an- 
zurichten. 

Mehrere Angrfsvekiren:Si- 
<herheitbedrohungen der deiten 
Generation werden mehrere An 
grlwektoren fuhren. Besonders 
Anti werden viele neue Tach 
ogien sein, wel sie mit keinen weit 
feichenden Funktionen zur Erken- 
nung von Bedrohungen und zum 
Schutz vor ihnen ausgestatet ind. 
Zu diesen Technologien gehören: 
Instant- Messaging (IM), Fonknetz 
Infrastruktur sowie Voice- over- LP- 
Dasierte Systeme. 

Serves, die als Knotenpunkte 
Für Instant-Messaging fungieren, 
werden zu beliebten Angefsiien. 
erden. IM-Kommundkation ist for 
gewöhnlich unverschlüsselt und 
Verfgt nur über begrenzte Tech- 
mologien mum Gatewap-Schutz. 
Außerdem beschränkt sich die Br- 
tenung von Bedrohungen bei IM 
weitgehend auf die Deskop-An- 
wendungen. Die umfangreichen 
Fie-Sharing-Möglichkeiten werden 
zum großen Problem werden - so 
können ema IM-Anwendungen 
tum Transport von Daten und Da- 
teien misbraucht werden, die An- 
rilscode enthalten. Außerdem 
werden die Bedrohungen der deit- 
ten Generation palymorphe Ver- 
schleierunge- und. Verschlüsse“ 
Tungstschniken einsetzen, um wah- 
tend eines Angrif nicht entdeckt 
Au werden 


‚Automatisierung als Waffe 
gegen die Bedrohungen 

Angesichts der Folgen, die die 
schnelle Ausbreitung kaben wird, 
missen die Scherhetendminiene.. 
Toren auf neue Weise mit den Ge- 


fahren umgehen, die ihre Netzwer- 
ke bedrohen. In der Vergangenheit 
betrug die Lebenszykluskurve von 
der Emndeckung einer Schwachstelle 
bis zu ihrer großflächigen Ausnut- 
zung cin oder zwei Jahre. Doch jetzt 
wenden Gegenmaßnahmen immer 
dringjichen, weil sich die Kurve zwi- 
schen Entdeckung und Angriff zu- 
chmend verengt = SQL Sammer 
schlug sechs Monate nach der Ent- 
deckung der Schwachstelle zu, 
Nimda vier Monate und Slapper 
nur sechs Wochen, nachdem die 
entsprechende Sicherheitslocke ent- 
deckt worden wr. 

Die Bedrohungen der Zukunft, 
machen es erforderlich, mit geichen 
Mingin zurückzuschlagen, denn die 
Angreifer nützen ale Vorteile auto- 
matisierter Tools. Mit Hilfe dieser 
tücklschen Technologie können sie 
automatisch mach potenziellen Op- 
ferm scannen, anflige Systeme, 
kompromitieen, Angrilicode pro- 
gramenieren, der sch nach dem Ein. 
dringen selbständig reproduziert, 
und das Management und die Kon- 
trolle des Angrficodes zum Zweck 
Ikanföger Aktivitäten zemtralisieren. 
Automatisierte Angriffe bekimpk 
man am effektivsten dadurch, das 
man die Abwehrmaßahmen suto- 
matisiert. Einige Abwehrsrtegien 
ind folgende. 

Regelmäßige Audit der Sicher- 
beitssystemne, be denen Schwach- 
stellen in Spnemen und Anwen- 
dungen analysiert werden, sind ein 
Wichtiges Mirtel, um eine starke Ab- 
Wehr zu gewährleisten, Die Metho- 
‚Sen reichen von herkömmlichen 
Durchdeingungsens bis hin zu 
neven, automatisierten Diensten, 
die Uber das Web durchøefihrt wer- 
den. Häufige Audits sielen sicher, 
diss die Administratoren schnell 
uad effektiv auf neu enstandene 
Angefpunke reagieren können. 
Die Schlüusellemene eins gründ« 
chen Audit sind: 
> Identifizierung der Neztopoogie 
und simticher Zugaagspunkte — 
on außechalb und innerhalb der 
Unternehmens-Fuewal, 

P Identifizierung aller Dienste, Be- 
iebsysteme und Anwendungen 
auf alken ans Netzwerk angebunde« 
‚nen 1Ps, um festzustellen, welche Si- 
Cherheilachen eventuel! bestehen 
kbanten, 

> 1deneitzierung und Priorisierung 
kritischer Sicherheitslocken im. 
Unternehmen sowie 

Auswahl getigaeter Abhilfema8- 
Zahmnen für die gefundenen Sicher- 
heitslicken, wie Patches und neue 
Konfgurtonseinsellungen. 


Der Einsatz von Antiviren- 
Software it unerlisslich, um be 
anne Bedrohungen zu blockieren, 
besonders, wenn diese nach einer 
ersten Angefswele periodisch 
wndiskehren Herkömmliche Anti- 
viren-Sofsware vergleicht die An- 
(wendungsdateien mit einer Datei, 
die Viren «Sipnaturene enthält, Zu 
einer effektiven Abwehr gehört, 
dass die Nutzer jeweils die neueste 
Version der vom Hersteler geliefer. 
ten Signacardatei inatallieren, 

Anbieter von Anwendungspro- 
rammen geben häufig Patches her- 
aus, die die bestehende Anwendung 
modifizieren, um Sicherheitlacken 
žu schließen, ohne den gesamten 
Code zu ersetzen. Der rechtzeitige 
Einsatz von Patches it eine der 
effektivsten Abwehrmaßnuhmen 
Überhaupt. Um auf neue Patches 
aufmerksam zu werden, können die 
IT-Verantwordichen auf die An- 
Kündigungen der Anbieter achten 
und auf Meldungen regieren, die 
bei Sicherheitssudits ausgegeben 
werden, Durch echtzeügen Einsatz 
von Security-Puches kann ein 
Ünternchmen die meisten Angrite 
verhindern. 

Und schließlich: Sicherheit it 
in bewegliche Ziel, und deshalb 
olen Unternehmen ibre Internen 
Sicherheitrichlinien und die Ma8- 
rahmen zu deren Dorehstzung re 
gelmißi überprüfen. Hierzu kön- 
nen sie die Trendanalyren nützen, 
die im Rahmen von regelmäßigen 
Sicherheitsaudits generiert werden: 
Mi Hilfe dieser Daten isst sich ge- 
ärlesten, dass die Sicherhuitssys- 
teme wirklich dazu beitragen, den 
sich ständig wandelnden. Bedro- 
hungen wirksam entgepenzutreten, 


Fazit 

Die Angriffe auf die Nerzwerki- 
herhet werden immer zahlreicher 
and raffinierter. Hacker natzen die 
Erfaheungen, um eine neue Gener- 
tion automntisierter Bedrohungen 
zuentwicken. Die Angriffe der Zu- 
kun werden sich schneller fort- 
planzen, als jede menschenmögl- 
he Gegenwehr greifen kana. Die 
echtziige und umfassende Erken- 
nung von Sicherheslücken und die 
Tasche Durchführung von Abhilfe- 
maßnahmen sind die wirkung 
ollsien Vorkehrungen, die die Si- 
Serheisadministratoren treffen 
können, um automatisierte Angrif- 
fe abzuwehren und die Sicherheit 

rer Netzwerke zu wahren, 
Dr. Gerhard Eschelbeck, 
Chief Technologie Oficer und Vie 
President of Engineering Qualys 


